Русский / Russian English / Английский

Сейчас на форуме: (+3 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS ·

 eXeL@B —› Софт, инструменты —› PhantOm plugin
<< . 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 . 9 . 10 ... 34 . 35 . >>
Посл.ответ Сообщение


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 22 января 2007 01:43 · Поправил: Модератор New!
Цитата · Личное сообщение · #1

вот наконец выкладываю на паблик.
плагин для скрытия OllyDbg, чтим ридми там всё написано.

з.ы. тупых вопросов типо зачем ещё 1 - не задаём!
этот плаг может больше, чем другие

Ранг: 77.1 (постоянный)
Статус: Участник

Создано: 10 апреля 2007 10:44 New!
Цитата · Личное сообщение · #2

Gideon Vi пишет:
pep почти отодрали

Я тут переводил статью про PeP
ahteam.org/articles.html?do=view&id=30


Ранг: 274.2 (наставник)
Статус: Участник
Advisor

Создано: 10 апреля 2007 11:32 New!
Цитата · Личное сообщение · #3

pavka
ВмПрота нет уже.Другие заморочки))))))))))).После снятия пепа,сабж ключа не хочет видеть.
Gideon Vi
С новым плагом,обрабатывать файл в начале(секцию срезать,плюс заплатка),уже необязательно.
Срабатывает правда одна привелигерованная инструкция.По шифту + ф9,можно пройти.


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 10 апреля 2007 17:24 New!
Цитата · Личное сообщение · #4

Gideon Vi пишет:
кому интересно возиться с антиотладкой - скачайте LikeRusXP Localization v5.18. интересные трюки начиная с 5,17 появились.


может расскажешь? а то у меня особо времени нету искать антиолтадку

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 10 апреля 2007 17:41 New!
Цитата · Личное сообщение · #5

Hellspawn пишет:
кому интересно возиться с антиотладкой - скачайте LikeRusXP Localization v5.18. интересные трюки начиная с 5,17 появились.

Проще скачать ПЕП да ковырять его


Ранг: 500.5 (!)
Статус: Участник

Создано: 10 апреля 2007 19:37 New!
Цитата · Личное сообщение · #6

pavka пишет:
Проще скачать ПЕП да ковырять его

в новом пепе вроде как очень многое изменилось, а старый вообще на половине компов даже не запускается (в смысле не сам пеп а проги им запроченые)

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 11 апреля 2007 05:11 New!
Цитата · Личное сообщение · #7

Smon пишет:
в новом пепе вроде как очень многое изменилось, а старый вообще на половине компов даже не запускается

Скачал сегодня 2.0 та же история ни Си ни асм не запускаются Дельфи протектит нормально запротекченый Дельфи со всеми опциями запускается под олей с фантомом без проблем нового на вскидку особо ни чего нет убраны маркеры


Ранг: 1122.0 (!!!!)
Статус: Участник

Создано: 11 апреля 2007 13:59 New!
Цитата · Личное сообщение · #8

Hellspawn пишет:
может расскажешь?


vnekrilov пишет:
На версиях LikeRusXP 5.17 и 5.18 SetySoft применил какую-то пакость, которая вызывает заставку Windows с обнаружением ошибки запуска программы (срабатывает SEH операционной системы).


pavka пишет:
Проще скачать ПЕП да ковырять его


К сожалению всё не так радужно. Новые версии (в том числе и те, которыми протектится LikeRusXP идут только за бабки. Бред конечно, но хозяин-барин.

Sh[AHT] пишет:
Я тут переводил статью про PeP


пасиб за ссылку.


Ранг: 274.2 (наставник)
Статус: Участник
Advisor

Создано: 12 апреля 2007 10:04 New!
Цитата · Личное сообщение · #9

интересные трюки
Я по этим трюкам не силён,но мне кажется это баг в VCL BusinessSkinForm.


Ранг: 462.8 (мудрец)
Статус: Участник
Only One!

Создано: 13 апреля 2007 14:51 New!
Цитата · Личное сообщение · #10

Bronco

А не поделишься тутором vnekrilov-а по снятию PeP?
Заранее спасибо!


Ранг: 500.6 (!)
Статус: Участник

Создано: 13 апреля 2007 16:49 New!
Цитата · Личное сообщение · #11

DaRKSiDE пишет:
А не поделишься тутором vnekrilov-а по снятию PeP?


Тоже почитал бы.


Ранг: 274.2 (наставник)
Статус: Участник
Advisor

Создано: 13 апреля 2007 18:40 New!
Цитата · Личное сообщение · #12

кажется это баг в VCL BusinessSkinForm
Не,не баг,другое что-то.У меня почему привелигированные инструкции на uxtheme.dll срабатывают.

int2b - что это за команда?
А не поделишься тутором
Вот не знаю,что на это сказать.Одну ошибку уже сделал.
Может поймёте....(((((((((((((


Ранг: 462.8 (мудрец)
Статус: Участник
Only One!

Создано: 14 апреля 2007 10:10 New!
Цитата · Личное сообщение · #13

Bronco
Вот не знаю,что на это сказать.Одну ошибку уже сделал.
Может поймёте....(((((((((((((

Ну что сказать? "Добрый" ты малый.... Думаю, что и все остальные будут с тобой столь "добры"...

NIKOLA
Тоже почитал бы.

Ну что? Могу повториться.... до китайцев и их солидарности нам далеко.... пример смотри выше...


Ранг: 500.6 (!)
Статус: Участник

Создано: 14 апреля 2007 11:38 New!
Цитата · Личное сообщение · #14

DaRKSiDE пишет:
до китайцев и их солидарности нам далеко....


Ты прав, о солидарности и речи быть не может.


Ранг: 274.2 (наставник)
Статус: Участник
Advisor

Создано: 14 апреля 2007 17:24 New!
Цитата · Личное сообщение · #15

"Добрый" ты малый....
Зря вы так.....у статьи есть же автор,который по личным делам был занят.
Статья скорее всего будет дорботанная,и на днях возможно автор сам зальёт.
Защита имеет частный случай,в новом пепе есть изменения....

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 15 апреля 2007 11:22 New!
Цитата · Личное сообщение · #16

Bronco пишет:
в новом пепе есть изменения....

Хм.. Никаких глобальных изменений в самом пепе я не увидел! Вообще то странно упоминать о каких то статьях и Приватном пепе которого ни кто не видел и не увидит! Посмотрел сегодня вашу дискусию на руборде и так думаю что вряд ли кто либо увидит какую либо статью ...

Ранг: 329.6 (мудрец)
Статус: Участник

Создано: 15 апреля 2007 14:02 · Поправил: vnekrilov New!
Цитата · Личное сообщение · #17

pavka пишет:
Вообще то странно упоминать о каких то статьях и Приватном пепе которого ни кто не видел и не увидит! Посмотрел сегодня вашу дискусию на руборде и так думаю что вряд ли кто либо увидит какую либо статью ...


Я получил некоторые замечания и предложения от Bronco, и сейчас дорабатываю статью по снятию PEP. В LikeRusXP приенен PEP v2.0, в котором немного усложнена анти-отладка, анти-дампирование и т.п.
Я не возражаю, чтобы Bronco и PE_Kill выложили где-либо проект моей статьи; чем будет больше замечаний и предложений, тем будет лучше.
Статью по снятию PEP планирую выложить на CrackL@b, и могу попросить разместить ее на сайте Hellspawn.

Hellspawn

В PEP применена эмуляция некоторых API, которые используются некоторыми плагинами, в т.ч. и GetProcessTimes. Естественно, что плагины настроены на работу с оригинальными API, а не с эмулированными, поэтому такие примочки приходится проходить вручную


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 15 апреля 2007 14:51 New!
Цитата · Личное сообщение · #18

vnekrilov пишет:
GetProcessTimes


хм) я же перехватываю в основном Zw и Nt функи, должно работать как надо...

vnekrilov пишет:
разместить ее на сайте Hellspawn


без проблем!


Ранг: 274.2 (наставник)
Статус: Участник
Advisor

Создано: 15 апреля 2007 16:15 New!
Цитата · Личное сообщение · #19

по снятию PEP. В LikeRusXP приенен PEP v2.0
Или не все опции,или это всё таки 1.9.
Приватном пепе
О таком не слышал,качнул ради интереса 2.0 с офтопа.
выставил все опции плюс not for idiots/newbies
Непатченный пока палит Олю,попатчил секции,теперь вместо окна кейгена,смотрю на мессагу.
pavka
Если тебя интересует ранняя статья,кинь мыло в ПМ.Раз Автор не против,в препе вышлю.


Ранг: 274.2 (наставник)
Статус: Участник
Advisor

Создано: 15 апреля 2007 23:37 New!
Цитата · Личное сообщение · #20

Непатченный пока палит Олю
Спатченным пока не разобрался,а с этим можно,стартует,правда памяти жрёт дофига.Связку надо расширить:
HideToolz,advancedolly_b12.dll(без использования закладок антиотладки),плюс плагин от Hellspawn.
С импортом по другому,пока ещё не разобрался.
Вообщем перемены во 2.0 на самом деле есть.
Ну я так понимаю,это не особо кого тревожит.


Ранг: 274.2 (наставник)
Статус: Участник
Advisor

Создано: 16 апреля 2007 02:38 · Поправил: Bronco New!
Цитата · Личное сообщение · #21

Спатченным пока не разобрался
Разобрался.Анти дамп проще паренной репы.)))))))))Выставляем VirtualSize секции .bss 00001000.
И пересчитываем все секции,правим дериктории,и добавляем для заплатки новую секцию,сравниваем rawsize с предыдущей.Пишем заплатку.Можно и удалить эту секцию,но только ни в коем случае не править NumOfRwaAndSize - иначе мессага.

Спёртые байты bp GetModuleHandleA,три или четыре раза F9,в стеке найдёте.
Импорт конечно очень далеко уже.
Где то такая цепочка байтов:
B2 06 MOV DL,6
8BC3 MOV EAX,EBX
E8 0CF0FFFF CALL 00341154
8B43 2C MOV EAX,DWORD PTR DS:[EBX+2C] <--сюда ставим бряк, в регистре ecx будет функция
0343 30 ADD EAX,DWORD PTR DS:[EBX+30]
99 CDQ
52 PUSH EDX
50 PUSH EAX
8B4D DC MOV ECX,DWORD PTR SS:[EBP-24]
8BC1 MOV EAX,ECX
33D2 XOR EDX,EDX
Вообщем как всегда,много шума,и много возни по востановлению.

Ранг: 329.6 (мудрец)
Статус: Участник

Создано: 17 апреля 2007 09:12 · Поправил: vnekrilov New!
Цитата · Личное сообщение · #22

Отправил статью по снятию протектора PEP с названием "Снятие протектора PEP на примере программы LikeRusXP v5.16 по vnekrilov.rar" на CRACKL@B в раздел "RAR-статьи". Не знаю, когда ее выложат на сайте модераторы форума.

Hellsp@wn

Сообщи, куда тебе можно отправить статью.


Ранг: 1122.0 (!!!!)
Статус: Участник

Создано: 17 апреля 2007 09:42 New!
Цитата · Личное сообщение · #23

vnekrilov, статья о системе регистрации будет приватной?

Ранг: 329.6 (мудрец)
Статус: Участник

Создано: 17 апреля 2007 11:37 New!
Цитата · Личное сообщение · #24

Gideon Vi пишет:
vnekrilov, статья о системе регистрации будет приватной?


Нет, она будет публичной.

Ранг: 329.6 (мудрец)
Статус: Участник

Создано: 18 апреля 2007 16:45 New!
Цитата · Личное сообщение · #25

Для всех желающих ознакомиться со снятием протектора PEP, в разделе RAR-статьи CRACKL@B выложена моя статья "Снятие протектора PEP на примере программы LikeRusXP v5.16 по vnekrilov". Буду очень признателен за замечания, пожелания и предложения.

Ранг: 12.6 (новичок)
Статус: Участник

Создано: 18 апреля 2007 22:02 New!
Цитата · Личное сообщение · #26

vnekrilov
Интересная статья.
Есть замечание: при создании новой секции NewSH, мы выставляем rawsize в 100, однако физически файл кончается секцией tls длиной 20, и остальные E0 байт не существуют, и поэтому файл не грузится. Добавлением в конец файла E0 байт проблема решается.
К сожалению не смог довести до конца, т.к. единственно доступная сейчас версия - 5.18, которая выдает ошибку, о которой вы упомянули в конце. Однако хотел бы спросить, как вы нашли места, в которых видны имена, типы и размеры ресурсов? И как узнали про детали архивации его пакером?


Ранг: 500.5 (!)
Статус: Участник

Создано: 18 апреля 2007 22:30 New!
Цитата · Личное сообщение · #27

vnekrilov
Создай тему о снятии пепа с лайкруса в отдельном топике, этот топик о плагине для ольки


Ранг: 199.4 (ветеран)
Статус: Участник

Создано: 19 апреля 2007 08:06 · Поправил: YDS New!
Цитата · Личное сообщение · #28

AirSpirit
См.линк в первом посте этой страницы.

Тема действительно ушла далеко в сторону.


Ранг: 274.2 (наставник)
Статус: Участник
Advisor

Создано: 19 апреля 2007 11:53 New!
Цитата · Личное сообщение · #29

этот топик о плагине
Работает нормально...Правда после выхода из отладчика,нереально запустить HideToolz.
Зравствуй - синий экранчик.
при создании новой секции
Я могу ошибаться,но кажется PE Tools физически секцию не создаёт,если её не подгрузить.


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 19 апреля 2007 15:48 New!
Цитата · Личное сообщение · #30

Bronco пишет:
Работает нормально...Правда после выхода из отладчика,нереально запустить HideToolz.


странно, можешь к Арчеру обратиться а вообще ХайдТуулз лучше запускать до ольги


Ранг: 274.2 (наставник)
Статус: Участник
Advisor

Создано: 19 апреля 2007 21:22 New!
Цитата · Личное сообщение · #31

Hellspawn
Я не считаю это проблемой,просто для информации.
После выхода из Оли без использования плагина,при запуске хайде экранчика нет.
Я на всякий случай просто перезагружаю ОС.
Аспр,Арма,ПеП отладчик не палит,на ком ещё проверить не знаю.
Детектор отличный....
<< . 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 . 9 . 10 ... 34 . 35 . >>
 eXeL@B —› Софт, инструменты —› PhantOm plugin

Видеокурс ВЗЛОМ